domingo, 30 de noviembre de 2008

Sobre cómo interpretar el artículo 2.3 del RD 1720/2007

Como saben, el artículo 2.3 del RLOPD determina que quedan fuera de su ámbito de aplicación objetivo de la norma "los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal".

Respondiendo a la pregunta planteada por un blogtor, paso a resumirles lo que la Agencia indica sobre este controvertido precepto.

Según la Agencia, cada caso debe analizarse por separado para establecer el límite entre la esfera privada y la actividad profesional. Como norma general, los datos de los empresarios individuales que se refieren exclusivamente a su actividad comercial o mercantil quedan fuera del ámbito de la normativa de protección de datos, incluyendo el nombre del propio empresario cuando éste identifica un establecimiento, producto o marca. Así por ejemplo, una base de datos de farmacias mantenido a efectos de facturación por un proveedor de productos médicos no quedará sometida a lo previsto en el RLOPD, aunque el rótulo de muchas farmacias incluya el nombre de su propietario.

Esto no significa que los datos de los empresarios individuales queden desprotegidos en todo caso. Si la información es tratada fuera del ámbito de ejercicio de la actividad profesional a la que se dedican, por ejemplo, como consumidores particulares, se aplicaría la normativa sobre protección de datos.

Si desean más información, pueden consultar los informes jurídicos 78/2008 y 234/2008.

sábado, 29 de noviembre de 2008

Envío de publicidad por e-mail (II): El concepto de comunicación comercial

Independientemente de que resulte de aplicación la LOPD en algunos supuestos, el envío de comunicaciones comerciales por medios electrónicos se encuentra regulado en los artículos 19 a 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).

Como norma general, el art. 21.1 determina:

“Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. "

Antes de continuar con nuestra explicación, conviene detenerse en el concepto de comunicación comercial. Éste aparece definido en el Anexo de la LSSICE (apartado f), donde se indica que comunicación comercial es:

"Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica."

Como se desprende del segundo párrafo, no toda comunicación que se remita a un correo electrónico por parte de una empresa tendrá la consideración de comunicación comercial. Por ejemplo, no lo será el correo electrónica que remita a un tercero por cualquier motivo en el que figuran al pie mi condición de abogado y la página web del despacho en el que trabajo. Sin embargo, el concepto resulta bastante amplio (y ambiguo) al incluir la promoción indirecta y referirse no sólo a bienes y servicios, sino a la imagen de la compañía.

La Agencia de Protección de Datos ha emitido recientemente un informe jurídico en el que interpreta esta definición, aunque no tengo claro que esté habilitada para hacerlo. Desde luego, su opinión debe ser tenida en cuenta, dado que es la entidad a quien corresponde sancionar en materia de envío de comunicaciones no deseadas a través de medios electrónicos desde la modificación de la LSSICE que entró en vigor el 20 de marzo de 2004.
Les resalto los siguientes párrafos del informe jurídico de la AEPD:

"(...) El hecho de que las comunicaciones sean remitidas por una entidad sin ánimo de lucro no implica necesariamente que las mismas no puedan ser consideradas comunicaciones comerciales a los efectos de la normativa reguladora de las comunicaciones comerciales no solicitadas. Debe en este sentido tenerse en cuenta que la definición contenida en la Ley 34/2002 no limita este tipo de comunicaciones a las empresas, sino a las organizaciones y a personas que realizan actividades industriales, comerciales, artesanales y profesionales, pudiendo además la comunicación no sólo referirse a productos y servicios, sino incluso a la "imagen" del remitente.

Teniendo esto en cuenta, en caso de que los eventos o actividades a los que se refiere la consulta puedan tener por objeto alguna actividad que pueda ser considerada de publicidad, promoción o prospección de la entidad consultante o de terceros, como por ejemplo, los miembros de su patronato, la remisión de los mensajes a los que se refiere la consulta podría ser considerado comunicación comercial a los efectos previstos en la Ley 34/2002, requiriéndose el consentimiento de los afectados para que la misma pueda tener lugar.

De los términos de la consulta no se deduce claramente la concurrencia o no en el caso analizado de las circunstancias a las que acaba de hacerse referencia, dado que se ignora si los eventos o actividades tiene por objeto la captación de fondos por parte de la fundación (sin perjuicio de que la misma no tenga ánimo de lucro) o la promoción de determinados productos de software cuya promoción y difusión es precisamente el "primer objetivo" de la consultante.

Por ello, no es posible dar una respuesta terminante a la cuestión planteada, debiendo estarse a lo que se ha indicado como criterio general."

En las siguientes entregas de esta serie, trataré de explicarle más sobre este concepto con ejemplos prácticos.

martes, 25 de noviembre de 2008

Tercer Día Internacional de la Seguridad de la Información (DISI 2008)

A través del blog de Julián Inza (al que Paco y yo idolatramos en la distancia), me he enterado de la celebración unas jornadas sobre seguridad de la información el próximo 1 de diciembre. Están organizadas por la Universidad Politécnica de Madrid, en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación.

No sólo la asistencia es gratuita, sino que además se invitará a los asistentes a un cóctel. Para la mayor parte de mis blogtores, esto es incentivo suficiente para ir. No obstante, si desea más información sobre el evento (el programa y otras cosas sin importancia) pinche aquí.

Nueva Inspección Sectorial de Oficio de la AEPD

Si como yo no se pueden dormir, les animo a leer el Informe de la última Inspección Sectorial de Oficio realizada por la AEPD. Se refiere a dos aspectos diferenciados: por un lado, las llamadas telefónicas; por otro, los mensajes a telefonía móvil con fines comerciales y publicitarios. Les sorprenderá comprobar que, a diferencia de lo que venía siendo habitual otros años y en la línea de la nueva política de transparencia y divulgación, el informe contiene recomendaciones para usuarios.

lunes, 24 de noviembre de 2008

I Seminario Internacional sobre Protección de Datos y Personalidad

Sé que mi blogtores se apuntan a todo lo que sea gratis, así que aquí les dejo el link al I Seminario Internacional sobre Protección de Datos y Personalidad, organizado por la Universidad Rey Juan Carlos de Madrid.

Diferencia entre cesión y licencia

El Fundamento Jurídico Tercero de la Sentencia núm. 363/2006, de 14 junio, de la Audiencia Provincial de Zaragoza, nos indica lo siguiente en relación a la diferencia entre "cesión" y "licencia":

"En este procedimiento nos enfrentamos a la tensión entre unos derechos difíciles de aquilatar en su comprensión, puesto que necesitan de categorías intelectuales diferentes a las clásicas utilizadas en la configuración de los derechos materiales. Es el ámbito propio de la propiedad intelectual e industrial, que recaen sobre "bienes inmateriales", que ocupan hoy en día una parte fundamental de la actividad económica. La gran y trascendental diferencia entre los bienes materiales y los inmateriales es que éstos, al ser ilimitadamente reproducibles, poseen autonomía respecto a sus creadores y puedan ser poseídos simultáneamente por un número ilimitado de personas. De esta manera, la protección del titular de un derecho sobre un bien inmaterial está representado, en su más amplio nivel, por la garantía a la "explotación exclusiva", con la consiguiente prohibición a los demás de la utilización o explotación de ese bien inmaterial, en la medida en que ese uso no le sea concedido por el titular de ese derecho sobre el bien inmaterial de que se trate.

Surgen así los conceptos de "cesión" y "licencia" en el ámbito de las propiedades intelectuales e industriales. El primero haría referencia a la transmisión de la titularidad sobre el derecho y la segunda puede entenderse como el "derecho a usar o explotar el objeto protegido por la propiedad industrial o intelectual, a cambio (generalmente) de unas determinadas contraprestaciones". Se trata, pues, de negocios jurídicos con sus evidentes especialidades, pero en absoluto desvinculados de las reglas generales de las obligaciones y contratos de nuestro Código Civil.

Así, en el caso concreto que hoy nos ocupa el hecho central objeto de controversia es, precisamente, el posible abuso de las licencias contratadas y de determinados programas de ordenador o "software". Se entiende por tal genéricamente un "programa de ordenador", aunque, siguiendo las Disposiciones Tipo de la Organización Mundial de la Propiedad Intelectual (OMPI), el software está compuesto por tres elementos: el programa de ordenador, la descripción del programa y el material de apoyo.

Distinguiéndose dos tipos de programas: los de "explotación", que están ligados al funcionamiento de la máquina, son los denominados "sistemas operativos" y que generalmente están instalados en el propio ordenador y los programas de "aplicación", que sirven para satisfacer las variadas necesidades de los usuarios. Dentro de éstos aún habría que distinguir entre los "paquetes de software", aquéllos que sirven para un número elevado de usuarios y los "programas específicos", que responden a las necesidades de un usuario concreto.

En nuestro caso estaríamos ante programas de "aplicación", desconociendo con certeza si se trata de un software genérico para empresas o específico para "SXXXXX". En todo caso, lo que se pretende proteger por la legislación específica (nacional e internacional) son las importantes inversiones que las compañías creadoras del "software" realizaban para inventar aquellos programas, en ocasiones fácilmente reproducibles. De tal manera que se pretende dotar de medios jurídicos (amén de las técnicas que puedan aplicarse) para que el titular del derecho pueda controlar la explotación y distribución de su propiedad intelectual.

En España se ha optado por la vía de la Propiedad Intelectual (derecho de autor), aunque es un tema en discusión el relativo a su posible protección a través del derecho de patentes."

domingo, 23 de noviembre de 2008

Lecturas orwellianas

Es un tópico de la disidencia electrónica citar la obra de Orwell como advertencia al resto de la Humanidad de lo que podría estar haciendo el Gobierno (no importa de qué país, pero especialmente, el Americano) con nuestros datos. Para satisfacer a mis lectores más paranoicos, he encontrado dos lecturas fascinantes.

En la e-newsletter de este mes, Cybex nos presenta la primera entrega de un artículo sobre el uso de remote forensic software por la policía y los servicios secretos. Está escrito por Wiebke ABEL, profesora de la Escuela de Derecho de la Universidad de Edimburgo, donde como algunos de Ustedes saben tuve la desgracia de asistir a un curso el verano pasado. Pero esa es otra historia.

La autora nos habla de algunas prácticas policiales de investigación como la consistente en infectar con un troyano los ordenadores de los sospechosos a través de archivos o programas ubicados en páginas oficiales como la de Hacienda o la Conserjería de Asuntos Sociales. No puedo negar que el trabajo me ha interesado y espero impaciente la continuación, aunque su prosa deja bastante que desear (supongo que se debe a problemas de traducción). El artículo resulta por otra parte de actualidad, dado que recientemente hemos conocido los problemas de la policía para acceder al ordenador del terrorista Txeroki, que utilizaba PGP.

La segunda lectura es el libro de Gerald REISCHL El engaño Google, que me compré ayer cuando fui a desayunar al VIPs al módico precio de 18 euros. No les puedo contar mucho más, porque todavía no lo he leído.

Por cierto, si quieren citar de primera mano 1984, tienen el texto disponible aquí, junto a diversa información sobre Orwell y su aburrida biografía.

jueves, 20 de noviembre de 2008

Un ejemplo de activismo on-line

Mientras desayuno, me permito recomendarles el post que acabo de leer en el siempre interesante blog de Benito Castro.

Se refiere a cómo una rama de "Johnson and Johnson" (Motrin) tuvo que retirar una campaña publicitaria ante las protestas realizadas en blogs, Youtube y twitter: "With regard to the recent Motrin advertisement, we have heard you", dicen en la nota de disculpas de su página web.

El motivo de las protestas es que se insinuaba que las mujeres que usan portabebés lo hacen para presumir de su condición de madres. Me gustaría comentar este tema con más detenimiento, pero debo irme a remar en mi banco de galera. Si quiere más información, puede leer la noticia publicada en Advertising Age.

martes, 18 de noviembre de 2008

Wikitel

A través del Blog de Red.es, me entero de que la Comisión Nacional del Mercado de las Telecomunicaciones ha abierto un Wiki. Aunque no me acaba de gustar visualmente, me parece una idea muy interesante. Veremos cómo evoluciona.

lunes, 17 de noviembre de 2008

El documento de seguridad en el nuevo reglamento

Aunque es indigno de un primer espada como yo dedicarse a estas tareas serviles, hoy he pasado gran parte de mi jornada laboral preparando diferentes cuestionarios para una auditoría. No sé si se han dado cuenta, pero a la hora de revisar las menciones mínimas del documento de seguridad, no sólo tienen que fijarse en el art. 88 del RLOPD. Diversos artículos del Título VIII incluyen aspectos que deberá recoger el documento de seguridad en todo caso o cuando se produzcan determinadas circunstancias. Hagamos un repaso.

Entre las disposiciones generales, aplicable a todos los niveles (sí, yo también me pregunto el por qué de este apartado teniendo en cuenta que las medidas de seguridad son acumulativas), encontramos lo siguiente:

Art. 82:
- Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soporte que los contengan o a los recursos del sistema de información que los trate, aun encargado del tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad en el documento de seguridad de dicho responsable.
- Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sus sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable.
- Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales deberá elaborar un documento de seguridad identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

Art. 84:
- Las autorizaciones que en el Título VIII RLOPD se atribuyen al responsable del fichero o tratamiento podrán ser delegadas en las personas designadas al efecto. En este caso, deberán constar en el documento de seguridad.

Art. 86:
- Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera o de los locales del responsable del fichero o del encargado del tratamiento, será preciso que exista una autorización previa del responsable del fichero o tratamiento. Estas autorizaciones tendrán que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.

Los artículos referidos al documento de seguridad en el nivel básico son:

Art. 89:
- Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
- También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

Art. 92:
- Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar la información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
- Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
- Salida de soportes y documentos: (incluidos los comprendidos y/o anejos a un correo electrónico): debe ser autorizada por responsable del fichero o tratamiento o encontrarse autorizadas en el documento de seguridad.


Art. 93:
- El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que se almacenarán de forma ininteligible.

Art. 94:
- En caso de pérdida o destrucción de los datos, cuando se proceda a grabar manualmente los datos tal circunstancia quedará reflejada, y debidamente motivada, en el documento de seguridad.
- Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Para el nivel medio sólo encontramos una referencia:

Art. 95:
- En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamiento de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

Por último, en lo que se refiere al nivel alto, tenemos:

Art. 103:
- No será necesario el registro de accesos si el responsable del fichero o tratamiento es una persona física o si garantiza que sólo él tiene acceso y trata los datos. Tales circunstancias se harán constar en el documento de seguridad.

Art. 111:
- Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrase en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si no fuera posible cumplir lo esto, el responsable se adoptarán medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

domingo, 16 de noviembre de 2008

A quién seguir en Facebook

Tras leer un sorprendente post sobre Obama en un blog de street style, me he dado cuenta que ya no tengo a quién seguir en Twitter, ahora que se han acabado las elecciones americanas. Así que, me he abierto una cuenta en Facebook para poder hacerme fan de Pancho, el perro de la primitiva.

viernes, 14 de noviembre de 2008

Al hilo de....

Al hilo de mi post del miércoles, profundizando en la idea de que Internet no es una fuente accesible al público, me gustaría recomendarles la lectura de un informe jurídico de la Agencia Vasca de Protección de Datos. Responde a una pregunta planteada sobre publicación en Internet de datos de participantes en concursos a puestos de trabajo reservados a personal funcionario. El interés del informe, y el motivo por el que se lo destaco, es la inclusión de un Anexo práctico, muy sencillo, con los puntos que debe tener en cuenta una Administración que se disponga a publicar datos de opositores o similares en red.

Les transcribo una de la recomendaciones del protocolo que debe cumplirse en estos casos (pueden consultar el informe completo aquí):

"3.- En cuanto a la información en la propia Web de los diferentes extremos de la publicación que en ella se realiza, deberá dejarse constancia de la naturaleza de los datos que en ella se recogen. Así deberá indicarse que los listados que se publican en la página Web y que contienen datos de carácter personal se ajustan a la legislación actual de protección de datos y su única finalidad, [XXXX Ejemplo de matrícula: de conformidad con lo previsto en el artículo 59 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, es la de proceder a notificar a cada uno de los aspirantes, el resultado de la prueba de nivel, a los efectos del proceso de matriculación.]

También deberá incluirse un párrafo informativo en el que se deje constancia de que, “estos listados no constituyen fuente de acceso público y no podrán ser reproducidos ni en todo ni en parte, ni transmitidos ni registrados por ningún sistema de recuperación de información, sin el consentimiento de los propios afectados”."

Quizás sea una buena idea incluir un texto de este tipo en las página web en las que se publican datos de carácter personal, ¿no les parece?.

Por cierto, Monsieur le Directeur acaba de dictar una resolución relacionada con este tema, la resolución R/00027/2008, que analiza un supuesto de difusión pública de datos en el ámbito de la concesión de plazas escolares. Y como recordarán, hace un tiempo les comenté la recomendación de la Agencia de Protección de Datos de la Comunidad de Madrid sobre publicacion de datos peronales en sitios web de Administraciones Públicas.

miércoles, 12 de noviembre de 2008

Envío de publicidad por e-mail (I): Consideraciones previas

Comenzamos hoy una nueva serie de posts en la que les explicaré las reglas básicas para el envío de publicidad a través de correo electrónico. Antes de entrar en materia, me gustaría aclarar dos puntos que considero importantes:

1º. No nos referiremos exclusivamenete a la normativa de protección de datos. También analizaremos las disposiciones contenidas en la LSSICE, norma que se aplica tanto a personas físicas como a personas jurídicas. Destierren Ustedes de su cabeza la idea de que si un e-mail no se relaciona fácilmente con una persona, y por tanto, no tiene la consideración de dato de carácter personal, puede utilizarse libremente con fines publicitarios.

2º. Internet no es una fuente accesible al público. Los correos electrónicos que aparecen en páginas web corporativas o en blogs como el mío, aunque se encuentren accesibles a cualquiera, no pueden usarse para remitir publicidad sin consentimiento del interesado bajo la excusa de que han sido obtenidos de una fuente accesible al público. La Agencia señala claramente en su reciente Informe Jurídico 342/2008:

"La definición de fuentes accesibles al público se contempla en el al artículo 3 j) de la Ley Orgánica 15/1999, son fuentes accesibles al público "Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin mas exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y los Boletines oficiales y los medios de comunicación".

Este artículo debe de complementarse con lo dispuesto en el artículo 7 del Real Decreto 1720/2007, de 21 de diciembre por el que se desarrolla la Ley Orgánica 15/1999 donde establece que "1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:

a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.
c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
d) Los diarios y boletines oficiales.
e) Los medios de comunicación social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación."

Ambas definiciones tienen una enumeración taxativa respecto a lo que cabe considerar como fuentes accesibles al público, lo que impide que consideremos a las páginas web como fuentes accesibles al público. Por ello, para tratar la información contenida en dichas páginas debería de obtenerse el consentimiento de los afectados. "

Con estas reflexiones, les dejo hasta mañana.

martes, 11 de noviembre de 2008

Informe de Asimelec sobre la industria de contenidos digitales

Me ha parecido simplista el breve apartado dedicado a contenidos generados por usuarios (a partir de la página 71) del informe de Asimelec sobre la industria de contenidos digitales . En realidad, todo el informe me lo ha parecido. Se reduce a una relación de datos deslabazados que no ofrece ninguna conclusión original ni útil.

Está bien presentado, contiene muchos gráficos de colores y cuenta con financiación de la SETSI del Ministerio de Industria. Pero si se detienen Ustedes a leerlo, comprobarán que no aporta nada interesate. Pueden descargar el texto completo aquí.

lunes, 10 de noviembre de 2008

Los problemáticos tratamientos no automatizados

De vuelta a la cruda realidad, compruebo que la Sentencia del Supremo relativa a los Libros Bautismales ha suscitado en algunos la duda sobre la diferencia entre fichero y tratamiento. A pesar de que ambos términos se definen de manera distinta en el art. 3 de la LOPD, se utilizan casi como sinónimos en el resto del articulado.

Podemos afirmar que, salvo la obligación de inscripción, el tratamiento automatizado de datos de carácter personal que no se organiza en ficheros queda sometido a las mismas obligaciones que el que sí adopta la forma de fichero.

En el caso de los tratamientos no automatizados, la duda se plantea por el hecho de que la Directiva 95/46/CE los excluye claramente de su ámbito de aplicación, claramente, en su considerando (27):

"(27) Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas (....)"

Sin embargo, no parece que tal haya sido la intención del legislador español. Fíjense si no, en Título VIII del nuevo reglamento, que expresamente se refiere a ficheros y tratamientos no automatizados. Ahora bien, ¿qué obligaciones deben cumplir los responsables de tratamientos no automatizados, además de la adopción de medidas de seguridad del título VIII del RLOPD? Incluso la aplicación de medidas de seguridad acaba siendo confusa. Para muestra un botón. Díganme cómo debe aplicarse el art. 106 del RLOPD a un tratamiento de datos que no es fichero y por consiguiente no está organizado atendiendo a criterios específico relativos a personas físicas:

"Artículo 106.
Criterios de archivo.
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo."

¿No se dan cuenta que si organizo el tratamiento para localizar expedientes o documentos referidos a una persona concreta convierto ese tratamiento en fichero, dado que fichero no automatizado se define como "todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica"?

Me duele la cabeza. Me voy a dormir.

lunes, 3 de noviembre de 2008

Oh là là!

Debido a mi próximo viaje a París (donde en esta época del año hace una temperatura excelente, como todos Ustedes saben), no actualizaré el blog hasta la semana que viene. Así que les dejo una selección de links para que se lo pasen bien en mi ausencia (aunque no tanto como yo):
  • Por un lado, pueden Ustedes echar un vistazo a los cursos y casos prácticos multimedia del Instituto de empresa, licenciados con Creative Commons, como explica Enrique Dans en su blog. Son gratuitos y muy bien presentados. Me ha gustado sobre todo el del blog de France Vichy Cosmetic.
  • Para los interesados en la protección de datos, sepan que hoy mismo la Agencia ha colgado en su web la Guía de Seguridad 2008. La mayor parte de su contenido ya estaba disponible en la página (por ejemplo, el modelo de documento de seguridad), pero se han añadido algunos epígrafes interesantes como el de preguntas frecuentes, que empieza en la página 54.
  • Como siento simpatía por los disidentes, les recomiendo que visiten la página Devolución del Impuesto Windows, a la que he llegado a través de la curiosa (y heróica) historia de un profesor que "reivindica su derecho a elegir el sistema operativo integrado en el portátil que compró hace tres años".
Y ahora les dejo, que tengo que preparar la maleta.

domingo, 2 de noviembre de 2008

Libro del mes (Noviembre)

VARIOS AUTORES (ABEL LLUCH, Xavier, dir.): Empresa y Prueba Informática. Colección de Formación Continua de la Facultad de Derecho de ESADE. Bosch Editores. Barcelona, 2006.

El libro de este mes recoge tres breves trabajos (en conjunto, no reunen más de 130 páginas) que tienen como tema central el estudio de la aportación de pruebas informáticas al juicio.

El primer de ellos, escrito por Abraham PASAMAR, lleva el mismo título que el libro y repasa el proceso de obtención, custodia y presentación de la prueba en soportes informáticos.

El segundo, a cargo de Guillermo ORMAZABAL, examina la eficacia probatoria de la firma electrónica, tras una introducción a la Ley 59/2003. Me ha gustado el epígrafe final en el que analiza la proposición de prueba cuando se cuestiona su autenticidad.

Por último, Manuel BELLIDO ASPAS ofrece una visión de la "Utilización del correo electrónico como motivo de despido laboral", que, aunque no recoge la última jurisprudencia al respecto, tampoco carece de interés.

En resumen, una obra sucinta y bien escrita para aquellos que quieran adquirir unas nociones generales sobre el derecho procesal vinculado a las nuevas tecnologías.